Mikrotik firewall ochrana DOS

pavel1tu

Nevím co máš za MT, proč zde není konfigurace FW, jak ti má někdo pomoci ?

Jjá jako člověk znalý sítí jen tak co potřebuji jsem vycházel z tohoto článku:

http://stavba.web-systemy.net/index.php ... nfigurace/ - jednotlivá pravidla jsou tam pěkně popsaná

+ mi zde jedem človíček doplnil FW o nějaká pravidla

Záleží co od toho chceš, ale je dobré to zabezpečit i vypnutím všeho nepotřebného:

- vypnout porty / služby co nepoužíváš

- já úplně vypnul uživatele admin (předtím vytvoř jiného s právy admina)

- administraci mám jen z Winboxu, na specifickém portu (ne na tom původním), zvenku vše blokováno (administrace atd.), z jedné IP, po specifickém VLANu

- zvenku se mohu připojit do sítě JEN po VPN, do MT nikdy

Je to pomalé ?

- špatně srovnaná pravidla ve FW "Jen efektivním seřazením pravidel lze RouterBoardu značně ulevit. Snahou dobře napsaného firewallu je, aby většina provozu byla vyřízena co nejméně pravidly. V případě výchozí konfigurace je např. až 99% příchozí komunikace (INPUT)vyřízeno jen dvěma pravidly."

viz. http://i4wifi.blog.cz/1606/top-10-nejca ... krotik-1-2

ludvik

Hlavně je potřeba si uvědomit, že ten mikrotik může zablokovat paket jen v případě, že ho přijme. No to je v případě DDoS už pozdě. Sice se ochrání síť, ale router ne. Ten to většinou neustojí. A pokud ustojí, tak to neustojí uplink.

ludvik

Nijak. Stejně tomu nezabráníš. Na to nemáš výkon, ani možnosti. Jen si to zaplácáš tak, že tomu sám nebudeš rozumět a výkon půjde do pryč.

Spíš se soustřeď na to ostatní. Třeba jak se nestat součástí botnetu. Implementovat BCP38. Zakázat přístup z internetu na porty UDP 123 a 53 (samozřejmě kromě oprávněných případů) a pro jistotu i 17 a 19.

Ochraň si vlastní služby. Povolení jen z míst, odkud to má smysl (tedy ssh, winbox, snmp, api a obecně management komplet). Základní ochranu třeba SSH tu lze dohledat.

pavel1tu

Asi bude nejlepší si zaplatit někoho kdo tomu rozumí ...

Já když si pořídil MT - jen jako domácí router, takže levný,

jsem ho testoval vedle mého starého routeru asi půl roku.

Ale jsou i střelci co to zfleku nasadí při poskytování internetu.

rsaf

U nikoho. Mikrotik nic takového neumí, něco umí různé IPS/UTM firewally, ovšem stejně to není všespásné a i pro domácí síť to budou náklady v desítkách tisíc.

Proti DDoS se lze ochránit jen těžko - jak už zde padlo, neustojí to router nebo linka, je to i dobrý důvod k tomu weby a podobné věci vystěhovat někde na hosting

Proti červům a útokům zevnitř se těžko brání routerem, moc se v tom nechytají ani ta enterprise řešení. Ideálně do sítě připojovat jen rozumně zabezpečená zařízení (a cizí zařízení do jiné vlan).

staryvena

Popřípadě pro web použít proxy cache jako je Cloudfare.